安全咨询

安全体系建设的阶段性

任何安全体系建设都不可能一蹴而就的，必须要根据自身的特点和需求，从安全管理和安全技术两个体系的两条主线入手，由易而难，循序渐进。

港湾公司长期与政府/银行/电信业/企业合作的经验、对业务的理解、对安全技术的把握几个方面的因素，我们推荐采用阶段法进行安全体系建设的实施和设计，也就是说，将安全体系建设分为三个阶段，每一阶段都具有不同的目标和实施内容，这样我们就可以有具体的操作方法可循。

                  

服务名称	服务内容	客户收益
信息安全等级 保护咨询	信息安全等级保护定级咨询； 信息安全等级保护测评咨询。	缩短定级及测评周期 ； 达到相应的安全保护能力。
日常安全咨询	异常情况/可疑事件分析建议 ； 漏洞信息深入解释。	及时诊断可疑安全事件，获得解决方法； 获得非公开安全信息。
安全方案设计	WEB应用安全设计 ； 数据库安全设计； 安全产品推荐。	获得最优的安全方案，减少投资成本； 获得合适的安全产品，减少投资风险。
安全认证咨询	ISO27001安全管理体系审查与分析； 风险控制方案与措施。	建立起信息安全管理体系； 提高信息安全管理水平。

信息安全架构设

传统的安全设计理念基本上仍处于忙于封堵现有系统漏洞的阶段，有人形象的称之为“修修补补”或“围、追、堵、截”，基于这样的设计理念建成的安全体系只能是局部的、被动的安全，而无法提供整体的、主动的安全；同时也缺乏有效的管理和监控手段，使得信息安全状况令人担忧，表现在病毒、蠕虫层出不穷、系统漏洞众多，另外经过很多国际权威机构的调查，内部发生的安全事件占全部安全事件的70％甚至更多，比如内部的误用和嗅探、攻击等滥用行为，都因为缺乏有效的监控和管理而不能及时发现，也给网络的安全带来巨大挑战；安全是一个整体，任何一部分的薄弱都会使得整体的安全防御能力大打折扣，不但使得组织重金建设的边界安全防御体系失去作用，同时还会严重影响组织业务的正常运营，从经济、法律、声誉等多方面对企业造成负面影响。

新的安全形势下需要新的思维和新的解决方案。安全是一个整体的、动态的过程，需要全面深入的考虑，那种头痛医头、脚痛医脚的方法已无法满足用户日益复杂的安全需求，要解决这些问题，归根结底取决于信息安全保障体系的建设。

保障对象是信息安全建设要保护的目标，分成多个安全防御领域，包括：网络基础设施，网络边界，终端计算环境，以及支持性基础设施建设。

安全需求包括信息的机密性、完整性、可用性、可控性、不可否认性等需求；信息的机密性、完整性、可用性、可控性、不可否认性等也是信息安全的基本属性；

为了有效的满足保障对象的安全需求，需要从人员，技术，管理等方面提供安全保障能力，全面满足被保障对象的安全需求